Sdílet prostřednictvím

Instalace HA SAP NetWeaver se službou Azure Files SMB

  • Článek

Microsoft a SAP teď plně podporují sdílené složky SMB (Azure Files Premium Server Message Block). SAP Software Provisioning Manager (SWPM) 1.0 SP32 a SWPM 2.0 SP09 (a novější) podporují azure Files Premium SMB Storage.

Existují zvláštní požadavky na změnu velikosti sdílených složek SMB úrovně Premium služby Azure Files. Tento článek obsahuje konkrétní doporučení k distribuci úloh, volbě odpovídající velikosti úložiště a splnění minimálních požadavků na instalaci pro protokol SMB úrovně Premium služby Azure Files.

Řešení SAP s vysokou dostupností potřebují vysoce dostupnou sdílenou složku pro hostování adresářů sapmnt, transport a rozhraní . Azure Files Premium SMB je jednoduché řešení PaaS (Platforma jako služba) Azure pro sdílené systémy souborů pro SAP v prostředích s Windows. Protokol SMB úrovně Premium služby Azure Files můžete používat se skupinami dostupnosti a zónami dostupnosti. Protokol SMB služby Azure Files úrovně Premium můžete použít také pro scénáře zotavení po havárii (DR) do jiné oblasti.

Poznámka:

Clustering instancí SAP ASCS/SCS pomocí sdílené složky se podporuje pro systémy SAP s jádrem SAP 7.22 (a novějším). Podrobnosti najdete v 2698948 SAP Note.

Určení velikosti a distribuce smb premium služby Azure Files pro systémy SAP

Při plánování nasazení protokolu SMB úrovně Premium služby Azure Files vyhodnoťte následující body:

  • Název sdílené složky se dá vytvořit jednou pro každý účet úložiště. Ve stejné sdílené složce /sapmnt/SID2 je možné vytvořit další ID úložiště (SID) jako adresáře, například /sapmnt/<SID1> a /sapmnt/<SID2>.
  • Zvolte odpovídající velikost, vstupně-výstupní operace za sekundu a propustnost. Navrhovaná velikost sdílené složky je 256 GB na identifikátor SID. Maximální velikost sdílené složky je 5 120 GB.
  • Protokol SMB služby Azure Files úrovně Premium nemusí dobře fungovat pro velmi velké sdílené složky sapmnt s více než 1 milionem souborů na účet úložiště.  Zákazníci, kteří mají miliony dávkových úloh, které vytvářejí miliony souborů protokolu úloh, by je měli pravidelně reorganizovat, jak je popsáno v SAP Note 16083. V případě potřeby můžete přesunout nebo archivovat staré protokoly úloh do jiné sdílené složky SMB úrovně Premium služby Azure Files. Pokud očekáváte , že sapmnt bude velmi velký, zvažte další možnosti (například Azure NetApp Files).
  • Doporučujeme použít koncový bod privátní sítě.
  • Nepoužívejte příliš mnoho identifikátorů SID do jednoho účtu úložiště a jeho sdílené složky.
  • Obecně platí, že nekompilujte více než čtyři neprodukční identifikátory SID.
  • Neumisťujte celý vývoj, produkční prostředí a systém kontroly kvality (QAS) do jednoho účtu úložiště nebo sdílené složky. Selhání sdílené složky vede k výpadkům celého prostředí SAP.
  • Doporučujeme umístit sapmnt a transportní adresáře do různých účtů úložiště s výjimkou menších systémů. Během instalace primárního aplikačního serveru SAP požádá SAPinst o název hostitele přenosu . Jako storage_account.file.core.windows.net> zadejte plně kvalifikovaný název domény jiného účtu <úložiště.
  • Neumisťujte systém souborů používaný pro rozhraní do stejného účtu úložiště jako /sapmnt/<SID>.
  • Do sdílené složky sapmnt musíte přidat uživatele a skupiny SAP. Na webu Azure Portal nastavte pro ně oprávnění přispěvatele se zvýšenými oprávněními pro sdílenou složku SMB dat úložiště.

Distribuce přenosu, rozhraní a sapmnt mezi samostatné účty úložiště zlepšuje propustnost a odolnost. Zjednodušuje také analýzu výkonu. Pokud umístíte mnoho identifikátorů SID a dalších systémů souborů do jednoho účtu úložiště Azure Files a výkon účtu úložiště je nízký, protože dosáhnete limitů propustnosti, je obtížné zjistit, který identifikátor SID nebo aplikace problém způsobují.

Plánování

Důležité

Instalace systémů SAP HA ve službě Azure Files úrovně Premium s integrací protokolu SMB se službou Active Directory vyžaduje spolupráci mezi týmy. Doporučujeme, aby následující týmy spolupracovaly na plnění úkolů:

  • Tým Azure: Nastavení a konfigurace účtů úložiště, spouštění skriptů a synchronizace služby Active Directory
  • Tým služby Active Directory: Vytvořte uživatelské účty a skupiny.
  • Základní tým: V případě potřeby spusťte SWPM a nastavte seznamy řízení přístupu (ACL).

Tady jsou požadavky pro instalaci systémů SAP NetWeaver HA v protokolu SMB úrovně Premium se službou Active Directory:

  • Připojte servery SAP k doméně služby Active Directory.
  • Replikujte doménu služby Active Directory, která obsahuje servery SAP, do Microsoft Entra ID pomocí microsoft Entra Připojení.
  • Ujistěte se, že alespoň jeden řadič domény Active Directory je v azure na šířku, abyste se vyhnuli procházení Azure ExpressRoute a kontaktovali řadiče domény místně.
  • Ujistěte se, že tým podpora Azure zkontroluje dokumentaci k protokolu SMB služby Azure Files s integrací služby Active Directory. Video ukazuje další možnosti konfigurace, které byly změněny (DNS) a vynechány (DFS-N) z důvodů zjednodušení. Jedná se ale o platné možnosti konfigurace.
  • Ujistěte se, že uživatel, který spouští skript Azure Files PowerShellu, má oprávnění k vytváření objektů ve službě Active Directory.
  • Pro instalaci použijte SWPM verze 1.0 SP32 a SWPM 2.0 SP09 nebo novější. Oprava SAPinst musí být 749.0.91 nebo novější.
  • Nainstalujte aktuální verzi PowerShellu do instance Windows Serveru, kde se skript spouští.

Pořadí instalace

Vytváření uživatelů a skupin

Správce služby Active Directory by měl předem vytvořit tři uživatele domény s oprávněními Místní Správa istrator a jednu globální skupinu v místní instanci služby Windows Server Active Directory.

SAPCONT_ADMIN@SAPCONTOSO.localmá doménová Správa istrator práva a používá se ke spuštění SAPinst,< sid>adm a SAPService<SID> jako uživatelé systému SAP a skupiny SAP_<SAPSID>_GlobalSpráva. Průvodce instalací SAP obsahuje konkrétní podrobnosti potřebné pro tyto účty.

Poznámka:

Uživatelské účty SAP by neměly být doména Správa istrator. Obecně doporučujeme, abyste ke spuštění SAPinst nepoužívejte <sid>adm .

Kontrola synchronizačního portálu Service Manager

Správce Active Directory nebo správce Azure by měli zkontrolovat Správce synchronizační služby v Microsoft Entra Připojení. Ve výchozím nastavení trvá replikace do Microsoft Entra ID přibližně 30 minut.

Vytvoření účtu úložiště, privátního koncového bodu a sdílené složky

Správce Azure by měl provést následující úlohy:

  1. Na kartě Základy vytvořte účet úložiště s zónově redundantním úložištěm úrovně Premium (ZRS) nebo místně redundantním úložištěm (LRS). Zákazníci s zónovým nasazením by měli zvolit ZRS. Tady musí správce zvolit mezi nastavením účtu Standard nebo Premium .

    Screenshot of the Azure portal that shows basic information for creating a storage account.

    Důležité

    Pro produkční použití doporučujeme zvolit účet Premium . Pro neprodukční použití by měl být dostatečný účet Standard .

  2. Na kartě Upřesnit by mělo být výchozí nastavení OK.

    Screenshot of the Azure portal that shows advanced information for creating a storage account.

  3. Na kartě Sítě správce rozhodne použít privátní koncový bod.

    Screenshot of the Azure portal that shows networking information for creating a storage account.

    1. Vyberte Přidat privátní koncový bod pro účet úložiště a zadejte informace pro vytvoření privátního koncového bodu.

      Screenshot of the Azure portal that shows options for private endpoint definition.

    2. V případě potřeby přidejte záznam DNS A do systému Windows DNS pro <storage_account_name>.file.core.windows.net. (To může být potřeba v nové zóně DNS.) Proberte toto téma se správcem DNS. Nová zóna by se neměla aktualizovat mimo organizaci.

      Screenshot of DNS Manager that shows private endpoint DNS definition.

  4. Vytvořte sdílenou složku sapmnt s odpovídající velikostí. Navrhovaná velikost je 256 GB, která zajišťuje příchozí přenos dat o 650 IOPS, 75 MB/s a příchozí přenos dat o velikosti 50 MB/s.

    Screenshot of the Azure portal that shows SMB share definition.

  5. Stáhněte si obsah GitHubu služby Azure Files a spusťte skript.

    Tento skript vytvoří účet počítače nebo účet služby ve službě Active Directory. Má následující požadavky:

    • Uživatel, který spouští skript, musí mít oprávnění k vytváření objektů v doméně služby Active Directory, která obsahuje servery SAP. Organizace obvykle používá účet domain Správa istrator, například SAPCONT_ADMIN@SAPCONTOSO.local.
    • Než uživatel spustí skript, ověřte, že je tento uživatelský účet domény služby Active Directory synchronizovaný s ID Microsoft Entra. Příkladem může být otevření webu Azure Portal a přechod na uživatele Microsoft Entra, kontrola existence uživatele SAPCONT_ADMIN@SAPCONTOSO.local a ověření uživatelského účtu Microsoft Entra.
    • Udělte roli Řízení přístupu na základě role přispěvatele (RBAC) tomuto uživatelskému účtu Microsoft Entra pro skupinu prostředků, která obsahuje účet úložiště, který obsahuje sdílenou složku. V tomto příkladu se uživateli SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com udělí role Přispěvatel příslušné skupině prostředků.
    • Uživatel by měl spustit skript při přihlášení k instanci Windows Serveru pomocí uživatelského účtu domény služby Active Directory s oprávněním, jak je uvedeno dříve.

    V tomto ukázkovém scénáři by se správce služby Active Directory přihlásil k instanci Windows Serveru jako SAPCONT_ADMIN@SAPCONTOSO.local. Pokud správce používá příkaz Connect-AzAccountPowerShellu, správce se připojí jako uživatel SAPCONT_ADMIN@SAPCONTOSO.onmicrosoft.com. V ideálním případě by na této úloze měl spolupracovat správce Active Directory a správce Azure.

    Screenshot of the PowerShell script that creates a local Active Directory account.

    Screenshot of the Azure portal after successful PowerShell script execution.

    Důležité

    Pokud uživatel používá příkaz Connect-AzAccountskriptu PowerShellu, důrazně doporučujeme zadat uživatelský účet Microsoft Entra, který odpovídá uživatelskému účtu domény služby Active Directory a mapuje se na uživatelský účet domény služby Active Directory, který byl použit k přihlášení k instanci Windows Serveru.

    Po úspěšném spuštění skriptu přejděte do sdílených složek úložiště>a ověřte, že se zobrazí služba Active Directory: Nakonfigurovaná.

  6. Přiřaďte uživatelům <SAP sid adm a SAPService<SID>> a skupinu SAP_<SAPSID>_GlobalSpráva ke sdílené složce SMB úrovně Premium služby Azure Files. Na webu Azure Portal vyberte přispěvatel sdílené složky SMB se zvýšenými oprávněními k datům úložiště úložiště.

  7. Po instalaci zkontrolujte seznam ACL sdílené složky sapmnt . Pak přidejte účet DOMAIN\CLUSTER_NAME$, účet DOMÉNY\<sid>adm, účet DOMAIN\SAPService<SID> a skupinu SAP_<SID>_GlobalSpráva. Tyto účty a skupina by měly mít úplnou kontrolu nad adresářem sapmnt .

    Důležité

    Dokončete tento krok před instalací SAPinst. Po vytvoření adresářů a souborů ve sdílené složce bude obtížné nebo nemožné změnit seznamy ACL.

    Následující snímky obrazovky ukazují, jak přidat účty počítačů.

    Screenshot of Windows Server that shows adding the cluster name to the local Active Directory instance.

    Účet DOMAIN\CLUSTER_NAME$ najdete výběrem možnosti Počítače v části Typy objektů.

    Screenshot of selecting an object type for an Active Directory computer account.

    Screenshot of options for the computer object type.

    Screenshot of computer account access properties.

  8. V případě potřeby přesuňte účet počítače vytvořený pro Službu Azure Files do kontejneru služby Active Directory, který nemá vypršení platnosti účtu. Název účtu počítače je krátký název účtu úložiště.

    Důležité

    Chcete-li inicializovat seznam ACL systému Windows pro sdílenou složku SMB, připojte sdílenou složku jednou k písmenu jednotky.

    Klíč úložiště je heslo a uživatel je název> sdílené složky Azure\<SMB.

    Windows screenshot of the one-time mount of the SMB share.

Dokončení úkolů SAP Basis

Správce SAP Basis by měl provádět tyto úlohy:

  1. Nainstalujte cluster s Windows na uzly ASCS/ERS a přidejte cloudovou kopii clusteru.
  2. První instalace uzlu clusteru požádá o název účtu úložiště SMB služby Soubory Azure. Zadejte plně kvalifikovaný název domény <storage_account_name>.file.core.windows.net. Pokud SAPinst nepřijímá více než 13 znaků, verze SWPM je příliš stará.
  3. Upravte profil SAP instance ASCS/SCS.
  4. Aktualizujte port sondy pro roli SAP <SID> v clusteru s podporou převzetí služeb při selhání Windows Serveru (WSFC).
  5. Pokračujte instalací SWPM pro druhý uzel ASCS/ERS. SWPM vyžaduje pouze cestu k adresáři profilu. Zadejte úplnou cestu UNC k adresáři profilu.
  6. Zadejte cestu profilu UNC pro databázi a pro instalaci primárního aplikačního serveru (PAS) a dalšího aplikačního serveru (AAS).
  7. Instalace PAS žádá o název hostitele přenosu . Zadejte plně kvalifikovaný název domény samostatného názvu účtu úložiště pro adresář přenosu .
  8. Ověřte seznamy ACL v adresáři SID a přenosu .

Nastavení zotavení po havárii

Protokol SMB úrovně Premium podporuje scénáře zotavení po havárii a scénáře replikace mezi oblastmi. Všechna data v adresářích SMB úrovně Premium ve službě Azure Files je možné průběžně synchronizovat s účtem úložiště v oblasti zotavení po havárii. Další informace najdete v postupu synchronizace souborů v přenosu dat pomocí nástroje AzCopy a úložiště souborů.

Po události zotavení po havárii a převzetí služeb při selhání instance ASCS do oblasti zotavení po havárii změňte SAPGLOBALHOST parametr profilu tak, aby odkazovat na protokol SMB služby Soubory Azure v oblasti zotavení po havárii. Proveďte stejné přípravné kroky pro účet úložiště zotavení po havárii, abyste se připojili k účtu úložiště ke službě Active Directory a přiřadili role RBAC pro uživatele a skupiny SAP.

Řešení problému

Skripty PowerShellu, které jste si stáhli dříve, obsahují ladicí skript, který provede základní kontroly ověřování konfigurace.

Debug-AzStorageAccountAuth -StorageAccountName $StorageAccountName -ResourceGroupName $ResourceGroupName -Verbose

Tady je snímek obrazovky PowerShellu s výstupem ladicího skriptu.

Screenshot of the PowerShell script to validate configuration.

Následující snímek obrazovky ukazuje technické informace k ověření úspěšného připojení k doméně.

Screenshot of the PowerShell script to retrieve technical info.

Volitelné konfigurace

Následující diagramy znázorňují několik instancí SAP na virtuálních počítačích Azure s clusterem s podporou převzetí služeb při selhání Windows Serveru, aby se snížil celkový počet virtuálních počítačů.

Tato konfigurace může být buď místní aplikační servery SAP v clusteru SAP ASCS/SCS, nebo role clusteru SAP ASCS/SCS na uzlech Microsoft SQL Server AlwaysOn.

Důležité

Instalace místního aplikačního serveru SAP na uzel AlwaysOn SQL Serveru se nepodporuje.

SAP ASCS/SCS i databáze Microsoft SQL Serveru jsou jediné body selhání (SPOFs). Použití protokolu SMB služby Soubory Azure pomáhá chránit tyto SPOF v prostředí Windows.

I když je spotřeba prostředků SAP ASCS/SCS poměrně malá, doporučujeme snížit konfiguraci paměti o 2 GB pro SQL Server nebo aplikační server SAP.

Aplikační servery SAP na uzlech WSFC pomocí protokolu SMB služby Soubory Azure

Následující diagram znázorňuje místně nainstalované aplikační servery SAP.

Diagram of a high-availability setup with additional application servers.

Poznámka:

Diagram znázorňuje použití dalších místních disků. Toto nastavení je volitelné pro zákazníky, kteří nenainstalují aplikační software na jednotku operačního systému (jednotka C).

SAP ASCS/SCS na uzlech AlwaysOn SQL Serveru s využitím protokolu SMB služby Soubory Azure

Následující diagram znázorňuje protokol SMB služby Azure Files s místním nastavením SQL Serveru.

Důležité

Použití protokolu SMB služby Soubory Azure pro jakýkoli svazek SQL Serveru se nepodporuje.

Diagram of SAP ASCS/SCS on SQL Server Always On nodes using Azure.

Poznámka:

Diagram znázorňuje použití dalších místních disků. Toto nastavení je volitelné pro zákazníky, kteří nenainstalují aplikační software na jednotku operačního systému (jednotka C).